本書は2021年9月に出版された、A Vulnerable System: The History of Information Security in the Computer Age(脆弱なシステム――コンピュータ時代の情報セキュリティ史)の邦訳である。著者のアンドリュー・J・スチュアートは投資銀行で情報セキュリティの専門家として働く一方、ロンドン大学キングス・カレッジに研究生として在籍中であり、情報セキュリティに関する論文を多数発表している。原著のタイトルにもある通り、本書は「脆弱なシステム」であるコンピュータのセキュリティをめぐる歴史を振り返るとともに、それを通じて「なぜ情報セキュリティは失敗の連続なのか」を明らかにしている。
本書でも繰り返し指摘されているように、いまや情報セキュリティは誰にとっても身近な問題となった。たとえば2013年に米ヤフーで発生したデータ漏洩事件では、同社サービスのユーザアカウント、実に30億人分が流出している。本書によれば、当時の世界人口はおよそ70億人であり、単純計算で全人口の4割以上の人々に影響があったことになる。
また日本でも、2022年6月に、兵庫県尼崎市の全住民(約46万人)の個人情報が入ったUSBメモリが紛失するという事件が起きている。同市から業務を委託した業者の社員が、個人情報データをUSBに移し、それをかばんに入れたまま居酒屋で飲酒。この時点で既に大問題だが、この社員はその後路上で寝込んでしまい、起きたときにかばんごと無くなっていたのである。幸いなことに、その後かばんとUSBは無事発見された。現時点ではUSBからデータが読み取られた形跡はないとのことだが、全住民の情報が悪意を持つ人物の手に渡る恐れがあったこの事件は、誰もが情報セキュリティの問題と無関係ではいられないことを如実に示すものと言えるだろう。
もちろん被害を受けるのは個人だけではない。いまや多くの企業も、否応なく情報セキュリティに取り組まざるを得ない状況となっている。
たとえば本書の第7章でも取り上げられているランサムウェア。マルウェアの一種で、感染したコンピュータをロックしたり、その中に格納されているファイルを暗号化するなどして使えないようにし、それを解除する見返りとして身代金(ランサム)を要求するというものだが、それがいま猛威を振るっている。警察庁が発表した資料によれば、令和3年(2021年)中に警察庁に報告されたものだけで、日本国内におけるランサムウェアの被害件数は146件に達している。この中には、感染したシステム等の復旧までに2か月以上要した事例や、調査・復旧に5000万円以上の費用を要した事例など、甚大な被害をもたらしたものも含まれている。また医療機関において、電子カルテ等のシステムがランサムウェアに感染し、新規の診療受付や救急患者の受入れが一時停止するなどの「重要インフラ事業者が標的となり、市民生活にまで重大な影響を及ぼす事案」も確認された。同様の事案は海外でも多く確認されており、情報セキュリティは企業の業績や存続にまで深く関わる問題となっている
なぜコンピュータはこれほど「脆弱なシステム」であり、ハッカーによる攻撃やデータ漏洩といった事件・事故が日々発生しているのか。それを理解するためのひとつのアプローチとして、情報セキュリティをめぐる現在のスナップショットを撮り、問題の直接的な原因を追究するという方法が考えられるだろう。もちろんそれは有効なアプローチであり、多くの技術書やIT系ニュースサイトが採用している。
一方で本書が採用しているのは、過去を振り返って「なぜいまこのような状況になっているのか」を理解し、そこから今後の進むべき道を考えるというアプローチだ。情報セキュリティをめぐっては、コンピュータ開発の黎明期から幾度となく議論が繰り返され、さまざまな方法論の開発・実践が取り組まれてきた。本書はそれらを当時の時代背景と共に振り返り、いくつもの取り組みがどのようにして生まれ、なぜことごとく失敗に終わっていたのかを描き出す。その中では、世界初のスパムメールや世界初のコンピュータウイルス、さらには「悪意のあるコンピュータプログラムを流布した罪」で逮捕され、裁判にかけられた世界初の人物(それが誰か、そしてこの一件がどのような顛末をたどったのかは、ぜひ本書を読んで確認してほしい)といったエピソードも紹介されており、情報セキュリティ史を身近に感じられる読み物としても楽しめるようになっている。
技術の世界は日進月歩なのだから、重要なのは最新の状況だけであり、過去を振り返っても意味がないと思われるだろうか。確かに目の前で起きている情報セキュリティ事故やサイバー攻撃に対処するには、たったいま、どのような脆弱性が世の中で発見され、どのような攻撃手法がトレンドとなっており、それにどう対応するかという専門知識が必要だ。そしてそれは、多くの技術書やニュースサイトが提供してくれている。
しかしそうした脆弱性がなぜ繰り返し発生するのか、そして対処療法ではなく根本的な治療を行うにはどうすれば良いのかを考えるためには、いまという状況がどのようにして生まれてきたのかを考えなければならない。著者このことを、「現在は過去の産物であり、今日の情報セキュリティ分野が直面している問題は、過去をより良く理解しない限り乗り越えられない」という表現で訴えている。
たとえば本書の中に、ユーザビリティに関する解説がある。著者によれば、情報セキュリティ史の初期、ユーザビリティの重要性はあまり考慮されていなかったそうだ。その理由は、初期のコンピュータは軍事目的で開発されており、したがってそのユーザーも軍人を想定していたためであった。軍人は「命令、規則、手順に忠実に従うよう訓練され、あたかも機械の一部であるかのように行動したから」、彼らが問題行動を取る可能性を考慮しなくて良かったわけである。
その後、コンピュータが社会へと普及するに従い、一般の人々がユーザーになることが当たり前の状況となった。しかしこうしたユーザーの軽視(あるいは過度の信頼と呼べるかもしれない)は、ユーザビリティの領域だけにとどまらず、逆に情報セキュリティに関する取り組み全体へと波及してしまっており、その悪影響が尾を引いている。パスワードをめぐり、人間の心理や行動パターンを無視したアドバイスが行われ、逆にセキュリティの観点からはマイナスの影響をもたらしていること(複雑なパスワードを推奨するあまり、パスワードの使いまわしが起きたり、覚えやすいパスワードを設定することにより推察されやすくなったりするなど)はその最たる例だ。
本書ではこうした、過去の状況が現在の問題をもたらしているという構図を、「経路依存性」という経済学・社会学における専門用語を引用して示している。これは「ある瞬間に取りうる一連の選択肢は、過去に行われた選択によって制限されている」という概念だ。一見すると非合理的な選択(タイプライター時代のQWERTYキーボードレイアウトがコンピュータ時代になっても引き継がれていることなど)も、経路依存性から説明でき、問題を正しく理解することを促してくれる。本書はまさに、情報セキュリティをめぐる現在の問題の背景にある、さまざまな経路依存性を解説してくれるものと言えるだろう。
さて、前述の通り、本書は2021年9月に原著が刊行されている。その後に発生した、世界に衝撃を与えたある事件と、その後の情報セキュリティ界隈の状況は、本書の見通しの正しさを別の角度から証明するものとなっている。それは言うまでもなく、2022年2月24日のロシアによるウクライナ侵攻である。
本書は第8章において「国家によるハッキング」を取り上げ、情報セキュリティにおける主要な「3つの汚名」のひとつとして位置づけ、詳しい解説を行っている。2010年代ごろから活発に見られるようになり、また被害の件数・規模ともに拡大傾向にあるのが、国家が何らかの目的でハッキング行為に乗り出すという現象だ。本書はこれについて、「国家は、目的を遂行する達成のためにコンピュータ・ハッキングを利用することを止めないだろう」として、今後も増加傾向が続くという予想を示している。
そして実際に、2月のウクライナ侵攻では、その前後からさまざまな企業・組織に対するサイバー攻撃が急増するという状況が見られている。たとえば株式会社サイバーセキュリティクラウドが2022年4月に発表したレポートによれば、侵攻直前となる2月16日以降、国内ウェブサイトに対するDDoS攻撃(BOTや脆弱性スキャンツールなどによる不正アクセスの検知)数が、それまでの直近3か月平均と比べて最大25倍も増加していた。また帝国データバンクが3月に発表したアンケート結果(3月11日から14日にかけて行われたもの)では、回答した企業の28.4パーセントが、「1か月以内にサイバー攻撃を受けた」と答えている。こうした事態を受け、経済産業省は国内企業に対してサイバーセキュリティの強化を呼び掛けているが、それは侵攻が発生した2月24日、ならびに3月1日、3月24日と、1か月間で3度も行われている。まさに本書が危惧していた状況が現実になっているわけだ。
本書はこうした情報セキュリティの根本的課題を解決するために、さまざまな学術分野における知識や経験に学ぶことを推奨している。情報セキュリティ史は、他の学術分野が歩んできた歴史と比べて圧倒的に短い。それだけこの分野はまだまだ手探りの状況であるわけだが、逆に考えれば、他の学術分野から学べることが多いと考えられるだろう。たとえば本書は、「経済学の分野からは、外部性の重要性、逆インセンティブを考慮する必要性、そして公共財としてのセキュリティという考え方、農業の分野からはモノカルチャーの概念、保険の分野からはリスクマネジメントの概念と保険数理データの価値など、全体として多くの有益なアイデアが生み出されてきた」と指摘している。一方でこれらの概念は、まだ情報セキュリティ分野において十分に浸透・活用されていないともしており、今後より大きな効果をもたらすことに期待をかけている。
大げさな言い方をすれば、すべての人々や企業にとって重要なテーマとなった情報セキュリティに対しては、あらゆる分野から人々が参加し、英知を結集させてその対応を探る必要があるのだろう。その際に本書は、情報セキュリティ史をめぐる共通認識を提供し、未来を考えるための基盤をつくるという点で、大きな価値を提供するものになると信じている。